PFSense als zentrales IPSec VPN Gateway mehr als 3 Netze –> Child SA's
-
Hallo alle miteinander.
Bin noch relativ neu mit der PFSense unterwegs deshalb bitte ich vorab um ein wenig Nachsicht :-)
Ich habe bei meiner PFSense Installation das Problem, wenn ich versuche mehr als 3 Phase 2 Einträge zu etablieren, die Child SA's auf der PFSense nicht mehr generiert werden und damit keinerlei Traffic durch den Site to Site Tunnel geht. Schalte ich auf beiden Seiten jeweils eines der zuätzlich zu routenden Netze (bisher egal welches) ab und lasse die Aushandlung neu durchführen werden die Netzbeziehungen wieder korrekt ausgehandelt.
Die Gegenseite (Lancom 1681V) zeigt in ihren Logs übrigens alle 4 Netzbeziehungen an.
Vielleicht hat ja jemand von euch eine Info dazu?
Grüße Marcel -
Hallo Forumsleser,
habe nun soweit noch ein Update:
Habe mit dem Hersteller Support der anderen Seite gesprochen:
Netzbeziehungen von deren Seite korrekt ausgehandelt, welches sich zumindest auch mit den Einträgen in der Rubrik "SPDs" wiederspiegelt.
Dort habe ich bei der PFSense (Community Edition) sowohl Inbound und Outbound zeigt Einträge für alle 4 Netze.
Für die Child SA's habe ich nun feststellen können das bei geringerer Phase 2 Gültigkeitsdauer verspätet einige Child SA's eingetragen werden. Aber leider nicht alle.Was wir noch feststellen durften: Die PFSense scheint noch Meldungen über den Tunnel zu schicken "Payload malformed"
Sagt das jemanden von euch etwas?
Grüße Marcel